OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 7 / 286•14 个分类
V2.8.1基于时间的一次性密码在过期前具有固定的有效期控制项
Authentication / 一次性验证器
验证基于时间的一次性密码在过期之前是否有定义的有效期。
评估
评估状态:
评估备注:
V2.8.2用于验证提交的 OTP 的对称密钥受到高度保护,例如通过使用硬件安全模块或基于安全操作系统的密钥存储控制项
Authentication / 一次性验证器
验证用于验证提交的 OTP 的对称密钥是否得到高度保护,例如通过使用硬件安全模块或基于安全操作系统的密钥存储。
评估
评估状态:
评估备注:
V2.8.3在生成、初始化和验证一次性密码(OTP)时使用经过批准的加密算法控制项
Authentication / 一次性验证器
验证在 OTP 的生成、初始化和验证过程中使用的是经过批准的加密算法。
评估
评估状态:
评估备注:
V2.8.4基于时间的一次性密码在有效期内只能使用一次控制项
Authentication / 一次性验证器
验证基于时间的一次性密码在有效期内只能使用一次。
评估
评估状态:
评估备注:
V2.8.5如果在有效期内重复使用基于时间的多因素一次性密码(OTP)令牌,将会记录该行为,并拒绝访问,同时向设备持有人发送安全通知控制项
Authentication / 一次性验证器
验证如果在有效期内重复使用基于时间的多因素一次性密码(OTP)令牌,是否会被记录并拒绝,同时向设备持有者发送安全通知。
评估
评估状态:
评估备注:
V2.8.6验证物理单因素 OTP 生成器在被盗或遗失的情况下可以被撤销控制项
Authentication / 一次性验证器
验证实体单因素 OTP 生成器在被盗或丢失的情况下可以被撤销。确保撤销在所有登录会话中立即生效,无论位置如何。
评估
评估状态:
评估备注:
V2.8.7生物识别认证仅限于作为辅助因素使用,并需与您拥有的物品或您知道的信息结合使用控制项
Authentication / 一次性验证器
确保生物识别身份验证器仅限于作为二级因素使用,并需与您拥有的东西或您知道的东西结合使用。
评估
评估状态:
评估备注: